情報処理技術者試験ナビ

当サイトは準備中です。

情報セキュリティ管理

情報セキュリティ管理

組織の情報セキュリティ対策を包括的かつ継続的に実施するために,情報セキュリティ管理の考え方,保護対象である情報資産を理解する。

情報セキュリティポリシに基づく情報の管理,情報,情報資産,物理的資産,ソフトウェア資産,人的資産(人,保有する資格・技能・経験),無形資産,サービス,リスクマネジメント(JISQ31000),監視,情報セキュリティ事象,情報セキュリティインシデント

リスク分析と評価

情報資産の調査

情報セキュリティリスクアセスメント及び情報セキュリティリスク対応に当たり,情報資産(情報システム,データ,文書ほか)を調査して特定することを理解する。

情報資産の重要性による分類

機密性,完全性,可用性の側面から情報資産の重要性を検討し分類することで,情報資産を保護するための判断基準を作成し,要求される情報セキュリティの水準が定められることを理解した上で情報資産を分類することを理解する。

機密性,完全性,可用性,情報資産台帳

リスクの種類

調査した情報資産を取り巻く脅威に対するリスクの種類を理解する。

財産損失,責任損失,純収益の喪失,人的損失,リスクの種類(オペレーショナルリスク,サプライチェーンリスク,外部サービス利用のリスク,SNSによる情報発信のリスクほか),ペリル,ハザード,モラルハザード,年間予想損失額,得点法,コスト要因

情報セキュリティリスクアセスメント

リスクを特定し,そのリスクの生じやすさ及び実際に生じた場合に起こり得る結果を定量的又は定性的に把握してリスクレベルを決定し,組織が定めたリスク受容基準に基づく評価を行うことを理解する。

リスク基準(リスク受容基準,情報セキュリティリスクアセスメントを実施するための基準),リスクレベル,リスクマトリックス,リスク所有者,リスク源,リスクアセスメントのプロセス(リスク特定,リスク分析,リスク評価),リスク忌避,リスク選好,定性的リスク分析手法,定量的リスク分析手法

情報セキュリティリスク対応

情報セキュリティリスクアセスメントの結果を考慮して,適切な情報セキュリティリスク対応の選択肢を選定し,その選択肢の実施に必要な管理策を決定することを理解する。

リスクコントロール,リスクヘッジ,リスクファイナンシング,情報化保険,リスク回避,リスク共有(リスク移転,リスク分散),リスク保有,リスク集約,残留リスク,リスク対応計画,リスク登録簿,リスクコミュニケーション

 

情報セキュリティ継続

組織が困難な状況(例えば,危機又は災害)に備えて,情報セキュリティ継続(継続した情報セキュリティの運用を確実にするためのプロセス)を組織の事業継続マネジメントシステムに組み込む必要性を理解する。

緊急事態の区分,緊急時対応計画(コンティンジェンシープラン),復旧計画,災害復旧,バックアップ対策,被害状況の調査手法

情報セキュリティ諸規程(情報セキュリティポリシを含む組織内規程)

情報セキュリティ管理における情報セキュリティポリシの目的,考え方,情報セキュリティポリシに従った組織運営を理解する。また,リスクを分析,評価した結果に基づいて,情報セキュリティ方針,組織の情報セキュリティ,資産の分類・管理,人的・技術的・物理的セキュリティなどを体系立てて策定する情報セキュリティ諸規程の目的,内容を理解する。

情報セキュリティ方針,情報セキュリティ目的,情報セキュリティ対策基準,情報管理規程,機密管理規程,文書管理規程,情報セキュリティインシデント対応規程(コンピュータウイルス感染時の対応ほか),情報セキュリティ教育の規程,プライバシポリシ(個人情報保護方針),職務規程,罰則の規程,対外説明の規程,例外の規程,規則更新の規程,規程の承認手続

情報セキュリティマネジメントシステム(ISMS)

組織体における情報セキュリティ管理の水準を高め,維持し,改善していくISMS(InformationSecurityManagementSystem:情報セキュリティマネジメントシステム)の仕組みを理解する。

ISMS適用範囲,リーダシップ,計画,運用,パフォーマンス評価(内部監査,マネジメントレビューほか),改善(不適合及び是正処置,継続的改善),管理目的,管理策(情報セキュリティインシデント管理,情報セキュリティの教育及び訓練,法的及び契約上の要求事項の順守ほか),有効性,ISMS適合性評価制度,ISMS認証,JISQ27001(ISO/IEC27001),JISQ27002(ISO/IEC27002),情報セキュリティガバナンス(JISQ27014)

情報セキュリティ組織・機関

不正アクセスによる被害受付の対応,再発防止のための提言,情報セキュリティに関する啓発活動などを行う情報セキュリティ組織・機関の役割を理解する。

情報セキュリティ委員会,情報セキュリティ関連組織(CSIRT,SOC(SecurityOperationCenter)),サイバーセキュリティ戦略本部,内閣サイバーセキュリティセンター(NISC),IPAセキュリティセンター,CRYPTREC,JPCERT/CC,コンピュータ不正アクセス届出制度,コンピュータウイルス届出制度,ソフトウェア等の脆弱性関連情報に関する届出制度,情報セキュリティ早期警戒パートナーシップ,J-CSIP(サイバー情報共有イニシアティブ),JVN(JapanVulnerabilityNotes),ホワイトハッカー

 

関連書籍

 

過去問題

基本情報技術者

応用情報技術者

情報セキュリティスペシャリスト